SSL è un fattore attenuante per HTTPonly non impostato sui cookie?

Question

SSL è un fattore attenuante per HTTPonly non impostato sui cookie?

Naviga le tue risposte

#1 da (4 voti)
#2 da (3 voti)

1

Ho alcuni siti che utilizzano HTTPS (nessuna modalità mista HTTPS / HTTP).

I cookie non hanno un flag Flag HTTPOnly. Fanno passare gli ID di sessione.

Anche alcuni dei siti non hanno un flag "Sicuro" nel cookie insieme al flag HTTPOnly.

L'esecuzione di questi siti in SSL è un fattore attenuante sufficiente?

In caso contrario, quale sarebbe la gravità di questa scoperta?

http cookies web-application xss

posta n_hov 26.02.2014 - 00:39

fonte

2 risposte

4

HTTPOnly non è realmente correlato a HTTPS. Indica al browser di non rendere visibile il cookie a JavaScript. Quindi, se c'è un difetto XSS, indipendentemente da HTTPS, non dovrebbe essere in grado di rubare il cookie attraverso quel difetto.

Il Secure se ricevuto su HTTPS indica al browser di inviare solo il cookie sulle connessioni HTTPS. Ha lo scopo di impedire a un utente malintenzionato di annusare il cookie sulla rete (wireless aperto ecc.).

HTTPOnly non smette di sniffare su una rete wireless aperta. Sicuro non impedisce a JavaScript di leggere il cookie in caso di XSS.

risposta data 26.02.2014 - 05:56

fonte

Leggi altre domande sui tag http cookies web-application xss

Perché il governo ha reso pubblico il Progetto TOR? [chiuso] applicazioni web disponibili per i test?

score 3 · Accepted Answer

Is running these sites in SSL a sufficient mitigating factor ?

If not, what would the severity of this finding be?

L'esecuzione dei siti in HTTPS è buona, ma non attenuerà i tipi di attacco contro la mancanza di HttpOnly e Secure flags.

Nel caso dei cookie Secure senza HttpOnly , potrebbero essere letti da un attacco XSS se un difetto XSS esiste su un sito.

Se HttpOnly è impostato, ma non Secure , un utente malintenzionato potrebbe forzare il browser a diffondere il cookie attraverso il semplice HTTP:

Supponi che il tuo sito web sia https://www.foo.com e imposti un cookie ID sessione con HttpOnly ma non Secure . Se l'utente malintenzionato può far visualizzare a un utente il proprio sito Web (o potrebbe essere un forum, ecc., In cui è stato pubblicato l'autore dell'attacco), l'autore dell'attacco potrebbe aver incorporato un tag immagine sulla propria pagina: <img src="http://www.foo.com/bar.jpg"/>.Nonènecessariochel'immagineesista,néilfattocheiltuoserverabbialaporta80aperta.

PoichéilflagSecurenonèimpostato,l'IDsessioneunavoltaprivatovieneorafiltratoattraversounaconnessioneHTTPnoncrittografatapoichéilbrowserinvieràtuttiicookienonSecureconlarichiesta.Ciòapriràlatuaapplicazioneaun attacco Man in the Middle . Nel caso in cui la porta 80 venga chiusa sul tuo server, l'autore dell'attacco potrebbe semplicemente MITM questa connessione e reindirizzare a un altro server che è aperto.